PII (persoonlijk identificeerbare informatie) identificeren en beveiligen

Wie wil er nu dat zijn persoonlijk identificeerbare informatie en gevoelige gegevens gecompromitteerd worden en door iemand gebruikt worden voor frauduleuze activiteiten? Maar de trieste realiteit is dat dit nu gemeengoed is geworden.

Onlangs werd bekend dat bijna 50% van de datalekken tussen 2021 en 2023 persoonlijk identificeerbare informatie (PII) van klanten betrof, en 40% van die gegevens was afkomstig van werknemers. Deze gegevens werden geregistreerd tijdens a onderzoek in oktober 2023.

PII is niet erg ingewikkeld, maar het is toch belangrijk om te begrijpen wat het is en hoe belangrijk het is om het te beveiligen. Deze gids bevat alle antwoorden waarmee u uw PII en uzelf kunt beschermen. 

Wat is PII (persoonlijk identificeerbare informatie)?

PII, of Persoonlijk Identificeerbare Informatie, is informatie die een belangrijk deel van uw identiteit uitmaakt en direct naar u kan wijzen. 

Stel het je voor als een geheime code die, alleen of in combinatie met andere informatie, je identiteit kan onthullen. Het zijn dus niet alleen je naam en adres; het zijn de puzzelstukjes die, als ze samengevoegd worden, het volledige beeld van "jou" vormen. 

Stel bijvoorbeeld dat je naam John is. Er zijn veel andere mensen over de hele wereld die dezelfde naam hebben, waardoor dit niet als PII kan worden beschouwd. Maar wat als je John Doe heet en in Manhattan woont met een burgerservicenummer AXY123? Dan wordt het een PII en kan het je uniek identificeren van andere Johns die in andere gebieden wonen.

PII kan worden onderverdeeld in niet-gevoelig en gevoelig. Deze zullen we hierna behandelen.

Niet-gevoelige en gevoelige PII-informatie

Het Amerikaanse ministerie van Defensie geeft een lijst met voorbeelden met betrekking tot PII. Van sofinummers tot persoonlijke adressen, al deze gegevens kunnen onder persoonlijk identificeerbare informatie vallen.

Laten we eens kijken naar de twee verschillende categorieën PII: 

Gevoelige PII

Gevoelige PII is informatie die een individu heel gemakkelijk kan identificeren. Dit type PII kan schadelijk zijn voor de persoon van wie het is als het wordt achterhaald door een cybercrimineel. 

Voorbeelden van gevoelige persoonlijk identificeerbare informatie

• Sofinummer (SSN)
• Rijbewijs
• Postadres
• Creditcardgegevens
• Paspoortgegevens
• Financiële informatie
• Medische gegevens

Niet-gevoelige PII

Alle informatie, zoals een meisjesnaam, die een persoon kan identificeren maar niet kan worden gebruikt om hem of haar schade toe te brengen, wordt gedefinieerd als niet-gevoelige PII. 

Voorbeelden van niet-gevoelige persoonlijk identificeerbare informatie

• Voornaam
• Postcode
• Race
• Geslacht
• Geboortedatum
• Geboorteplaats
• Religie

Als jij of een bedrijf PII wil verzamelen, dan moeten ze online formulieren, enquêtes en sociale media gebruiken, bij voorkeur met een geheimhoudingsverklaring erbij. Als u uw PII aan iemand verstrekt, controleer dan of er een goed plan is voor het gebruik, de opslag en de bescherming van de informatie.

Waarom is PII belangrijk?

PII is cruciaal omdat het uw gegevens beschermt. Bedrijven of organisaties die over uw PII beschikken, zijn wettelijk verplicht om deze koste wat het kost te beschermen. Het biedt een garantie voor de veiligheid en beveiliging van uw persoonlijke gegevens.

Bedrijven kunnen je informatie voor meerdere doeleinden gebruiken, zoals:

• Gericht adverteren
• Fraudepreventie
• Rechtshandhaving
• Krediet scoren
• Screening op werkgelegenheid

Hoe kan PII worden gestolen?

Aanvallen zoals social engineering waarbij een vervalste domeinnaam of e-mail wordt gebruikt, kunnen mensen ertoe verleiden om PII vrij te geven. Het is ook mogelijk dat privégegevens uitlekken via een gehackt e-mailaccount, datalekken, enzovoort.

Hier volgen enkele veelvoorkomende manieren waarop PII kan worden gestolen: 

1. Phishing e-mails: Valse e-mails lokken slachtoffers naar hun PII
2. Datalekken: Aanvallers maken gebruik van zwakke plekken in systemen om gevoelige databases te kraken
3. Dumpster duiken: Verwijderde documenten uit prullenbakken halen die PII bevatten
4. Social engineering: Nietsvermoedende slachtoffers manipuleren om persoonlijke informatie te delen
5. Malware: Kwaadaardige software die bestanden met PII op uw computer infiltreert
6. Bedreigingen van binnenuit: Uw eigen werknemers die PII vrijgeven met kwade bedoelingen of voor geld
7. CyberafluisterenAfluisteren van online communicatie om PII te stelen
8. Gehackte e-mailaccounts: Toegang krijgen tot e-mailaccounts om chats te lezen die PII bevatten
9. Man-in-the-middle-aanvallen: Aanvaller onderschept online communicatie om PII te stelen
10. Gewelddadige aanvallen: Ongeautoriseerde toegang krijgen tot accounts door gebruik te maken van brute kracht, zoals constante herhalingen, en vervolgens PII stelen.

Methoden om PII te beveiligen

Verschillende landen hebben meerdere wetten voor gegevensbescherming aangenomen om richtlijnen op te stellen voor bedrijven die persoonlijke gegevens van klanten verzamelen, opslaan en delen. Laten we eens kijken naar de manieren waarop u uw PII kunt beschermen.

• Gebruik waar nodig sterke wachtwoorden.
• Wees voorzichtig met de gegevens die je online deelt.
• Controleer uw kredietrapporten regelmatig op tekenen van fraude.

Als je een bedrijfseigenaar bent, moet je de onderstaande stappen overwegen:

• Alleen de PII verzamelen die nodig is om een specifieke service te leveren.
• De versleuteling die in bedrijven wordt gebruikt, moet robuust zijn om ongeautoriseerde toegang tot de PII van hun werknemers en klanten te voorkomen.
• Toegang tot PII moet worden beperkt tot alleen die werknemers die deze nodig hebben om hun taken uit te voeren.
• Er moet een trainingssessie worden gehouden om werknemers te leren hoe ze PII moeten beschermen.
• Houd eventuele plotselinge beveiligingsinbreuken altijd goed in de gaten.
• Er moet een plan zijn om te reageren op datalekken, zodat het snel kan worden gebruikt om te reageren op een datalek en de schade te beperken.

Het Amerikaanse ministerie van Binnenlandse Veiligheid heeft ook een inzichtelijk document waarin staat hoe u uw PII veilig kunt beschermen en delen.

Het belang van het beschermen van PII tegen datalekken

Er is sprake van een datalek als iemand zonder toestemming van het bedrijf toegang krijgt tot computersystemen, wat mogelijk leidt tot het verkrijgen van gevoelige informatie. 

Tijdens ons onderzoek vonden we een studie waaruit bleek dat er wereldwijd meer dan 6 miljoen records wereldwijd werden gekraakt in 2023. Dit is een van de meest zorgwekkende factoren voor bedrijfsleiders.

Deze datalekken kunnen verschillende oorzaken hebben, zoals:

• Malware
• Hacken
• Menselijke fouten

Bedrijven kunnen de onderstaande praktijken volgen om hun gegevens te beschermen tegen inbreuken:

• Passende beveiligingsmaatregelen implementeren.
• Hun werknemers voorlichten over de beste praktijken binnen de cyberbeveiliging wereld.
• Zorg voor een reactie- en herstelplan voor het geval er plotseling een datalek optreedt.

Wet- en regelgeving voor PII

PII wordt gereguleerd door vele wetten en regels. Deze zorgen ervoor dat de privacy van personen veilig is en dat ze zich geen zorgen hoeven te maken over bedreigingen zoals imitatie. Enkele van deze federale wetten zijn:

1. Privacywet van 1974

De Privacywet van 1974 legt de regels vast voor federale agenten als het gaat om het verzamelen, gebruiken en openbaar maken van PII. Deze wet maakt het ook verplicht voor federale instanties om mensen te laten weten of ze hun PII openbaar mogen maken en er staan straffen te wachten als men dit niet doet. Er zijn echter bepaalde speciale gevallen en uitzonderingen.

2. Wet Portabiliteit en Verantwoording Zorgverzekeringen

Dan is er nog HIPAA, de Health Insurance Portability and Accountability Actde superheld voor gezondheidsdossiers. Deze eist dat instellingen en zorgverleners informatie over patiënten geheim houden en hun gezondheidsdossiers niet zonder toestemming vrijgeven.

3. Vrijheid van informatie

En vergeet de FOIA niet, de Freedom of Information Act. Het is het gouden ticket voor mensen die in overheidsdossiers willen graven. Het zegt tegen federale instanties: "Laat je kaarten zien, tenzij het supergeheim is." Dus eigenlijk is het de backstage pas van het publiek voor overheidsinformatie! De FOIA fungeert echter ook als een beschermer van PII door wetshandhavingsinstanties te vragen om informatie achter te houden die persoonlijk identificeerbaar of schadelijk kan zijn.

4. Algemene verordening gegevensbescherming (GDPR) 

In 1995 was er een richtlijn voor gegevensbescherming, maar later, GDPR om persoonlijke informatie te beschermen. Nu moet elk bedrijf dat te maken heeft met de persoonlijke gegevens van EU-burgers, of ze nu gevestigd zijn in de EU of elders (ja, zelfs de VS!), zich aan dezelfde regels houden.

Niet-naleving kan leiden tot hoge boetes - 4% van je wereldwijde jaaromzet of €20 miljoen, afhankelijk van wat het pijnlijkst is - voor de schending van bepaalde bepalingen. Bovendien hebben individuen het recht om een klacht in te dienen als ze denken dat hun GDPR-rechten werden geschonden. 

Vergeet niet dat GDPR de wereldwijde sheriff is voor gegevensprivacy, die ervoor zorgt dat bedrijven niet te snel en te los gaan met de persoonlijke gegevens van mensen. Het is de bewaker van je gegevens, die de digitale wereld in toom houdt.

Hoe kunnen bedrijven de gegevens van hun klanten beschermen?

Bedrijven die hun beveiliging willen verbeteren, kunnen deze handige tips overwegen:

• Implementeer netwerksegmentatie: Zie het als het bouwen van muren binnen je digitale koninkrijk. Als één gebied wordt doorbroken, kunnen de andere sterk blijven. Het is alsof je geheime compartimenten in je gegevenskluis hebt.
• Handhaaf het beveiligingsbeleid en de beveiligingsprocedures: Stel de regels op en zorg ervoor dat iedereen zich eraan houdt. Het is net als een beveiligingshandboek - iedereen weet wat mag en wat niet mag.
• Maak regelmatig back-ups van de gegevens: Stel je gegevens voor als een schat en back-ups als een geheime voorraad. Als de piraten komen (aka datalekken), heb je nog steeds je geheime voorraad om op terug te vallen. 
• Stel een uitgebreid plan op om op inbreuken op gegevens te reageren: Plan elke actie, van het opsporen van problemen tot het oplossen ervan. 

Impact van identiteitsdiefstal en misbruik van PII

Identiteitsdiefstal is geen grap - het kan je ernstige financiële hoofdpijn bezorgen. Stel je voor dat iemand zich voordoet als jou en ongevraagd gaat winkelen of leningen op jouw naam afsluit - of erger nog, illegale activiteiten uitvoert! 

Identiteitsdiefstal en gestolen PII kunnen leiden tot: 

1. Ernstige financiële schade 
2. Emotioneel leed en angst 
3. Juridische onrust voor misdaden die in jouw naam zijn gepleegd
4. Verlies van geloofwaardigheid en reputatie in de sector 
5. Verlies van vertrouwen van de klant

Laatste woorden

Een populaire vector voor het achterhalen van PII zijn phishing-e-mails die zich voordoen als uw domeinnaam. We raden u aan een DMARC in te stellen voor uw e-mails en domeinen om hier veilig voor te zijn. En er is geen betere manier om uw implementatie veilig te configureren en te controleren dan PowerDMARC! Wij zijn een team van domeinbeveiligingsdeskundigen die gespecialiseerd zijn in het helpen bij het minimaliseren van e-mailfraude door middel van authenticatie. Neem vandaag nog contact met ons op voor een gratis DMARC proefversie!

Vergeet niet om zo min mogelijk persoonlijke informatie te delen op internet! Blijf veilig en blijf waakzaam online.

• Over
• Laatste berichten

Ahona Rudra

Ahona is de Marketing Manager bij PowerDMARC, met 5+ jaar ervaring in het schrijven over cybersecurity onderwerpen, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een postdoctorale graad in Journalistiek en Communicatie, en heeft haar carrière in de beveiligingssector sinds 2019 verstevigd.

Nieuwste berichten van Ahona Rudra (zie alle)

• 10 beste tips en strategieën voor e-mailbeveiliging - 15 mei 2024
• Kan Blockchain de beveiliging van e-mail verbeteren? - 9 mei 2024
• Proxy's voor datacenters: Onthulling van het werkpaard van de proxywereld - 7 mei 2024